Windows NTLM Relay漏洞 ADV210003

漏洞名称 : Windows NTLM Relay漏洞 ADV210003 

组件名称 : Windows NTLM

影响范围 : 

Windows Server 2012/2012 R2/016/2019

Windows Server 2008 R2 Service Pack 1/2

Windows Server 2016 (Server Core installation)

Windows Server, version 20H2(Server Core installation)

Windows Server, version 2004(Server Core installation)

Windows Server 2019 (Server Core installation)

漏洞类型 : 中间人攻击

利用条件 :

1、用户认证：不需要用户认证

2、触发方式：远程，需要结合其它服务进行利用

综合评价 :

<综合评定利用难度>：简单，不需要用户认证即可利用该漏洞。

<综合评定威胁等级>：高危，与域内的AD CS服务结合利用时会导致证书凭证泄露，甚至可以获取到域管理员的凭证，直接接管Windows域。

漏洞分析

1 组件介绍

   NTLM是Winodws 采用的认证方式之一，相较于Kerberos，NTLM协议更加简单。NTLM采用质询/应答（Challenge/Response）的消息交换模式。

2 漏洞描述

   2021年8月2日，一安全团队发现Winodws组件存在NTLM Relay漏洞的信息，漏洞编号：ADV210003，漏洞威胁等级：高危。

   攻击者可从域外机器发起攻击，胁迫受害者主机向目标机器进行一次认证，攻击者在自身不需要认证的情况下，结合利用域内的AD CS服务获取证书凭证，甚至可以获取到域管理员的凭证，直接接管Windows域。

漏洞复现

搭建Windows Server 2019版本环境，复现该漏洞，效果如下：

影响范围

Windows系统作为当下最流行、使用最为广泛的操作系统，在全球各个地区都有相当大的使用量，中美两国是使用Windows系统最多的两个国家。

   目前受影响的Windows版本：

Windows Server 2012/2012 R2/016/2019

Windows Server 2008 R2 Service Pack 1/2

Windows Server 2016 (Server Core installation)

Windows Server, version 20H2(Server Core installation)

Windows Server, version 2004(Server Core installation)

Windows Server 2019 (Server Core installation)

解决方案

1 如何检测组件系统版本

    Win + r 中输入winver ：

2 官方修复建议

   当前官方已发布受影响版本的对应缓解措施，建议受影响的用户及时更新修复。链接如下：

https://support.microsoft.com/zh-cn/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429